Security Vision сообщает о выпуске обновления для продуктов SOAR и NG SOAR

Security Vision сообщает о выпуске обновления для продуктов SOAR и NG SOAR

Security Vision сообщает о выпуске обновления для продуктов SOAR и NG SOAR

Security Vision SOAR – это комплексное решение для обработки инцидентов информационной безопасности на всех этапах их жизненного цикла согласно методологии NIST/SANS:

  1. Preparation – Подготовка
  2. Detection – Обнаружение
  3. Analysis – Анализ
  4. Containment – Сдерживание
  5. Eradication – Устранение
  6. Recovery – Восстановление
  7. Post-Incident – Постинцидент

Основными преимуществами Security Vision SOAR являются:

  • Построение цепочки атаки (Kill Chain) – объединение связанных инцидентов в единую последовательность этапов, отображающую путь злоумышленника и эволюцию угрозы.
  • Объектно-ориентированное реагирование – подход, где каждый элемент инцидента (хосты, учетные записи, процессы и т. д.) рассматривается как объект с свойствами, действиями и связями.
  • Динамический Playbook – система сама подбирает релевантные действия по сбору дополнительной информации и выполнению действий реагированию на инцидент.
  • Экспертные рекомендации, которые система предоставляет аналитику, работающему над инцидентом на протяжении всего жизненного цикла его обработки.

Security Vision NG SOAR дополняет перечисленные выше возможности механизмом автоматизированного взаимодействия с НКЦКИ и ФинЦЕРТ, а также собственными SIEM и EDR.

Основными преимуществами SIEM от Security Vision являются:

  • Возможность создавать сложные правила корреляции с многоуровневой вложенностью условий, в том числе используя повторения в правиле, опциональность событий, первое событие – с условием типа «отрицание».
  • Графический No-Code редактор правил корреляции, что значительно снижает порог входа и сроки адаптации аналитиков.
  • Оптимизация использования памяти и дискового пространства при хранении исходных событий.
  • При получении событий от разных источников в разрозненном порядке время синхронизируется, несмотря на сбои, и для правила корреляции цепочка восстанавливается ретроспективно.

Основными преимуществами EDR от Security Vision являются:

  • Глубокий мониторинг – расширение возможностей стандартного аудита ОС за счет перехвата системных событий. Перехват событий осуществляется через хуки пользовательского пространства на хостах, а также на уровне драйвера ядра как Windows, так и Linux.
  • Проактивная блокировка – автоматически останавливает недоверенные приложения при попытке выполнения опасных операций.
  • Автоматизация реагирования – интеграция с другими СЗИ, например, для отправки подозрительных файлов в Песочницу.
  • Возможность внесения изменений в правила корреляции EDR в едином с SIEM интерфейсе. 

Новые возможности, добавленные в обновлении:

рис 1.png 

 

Полностью переработан интерфейс. Мы переосмыслили пользовательский опыт, разместили наиболее значимые элементы в быстром доступе, провели редизайн визуальной составляющей, чтобы повысить скорость обработки инцидентов, а также снизить время на адаптацию в продукте для новых пользователей.

Добавлен ряд новых ML-моделей:

  • Скоринг False Positive – модель обучается на данных по закрытым инцидентам, и при поступлении нового инцидента система оценивает, насколько он схож с ранее закрытыми ложноположительными случаями, и выдает результат в виде процентного соответствия.
  • Похожие инциденты – модель анализирует контекст инцидента, ищет и показывает похожие кейсы. Это позволяет аналитику как увидеть подобные инциденты, которые также сейчас в работе, так и посмотреть, как обрабатывались схожие ситуации в прошлом.
  • Рекомендации по истории действий – модель подскажет аналитику, какие действия выполнялись на разных фазах при расследовании подобных инцидентов в прошлом. Таким образом новый сотрудник SOC быстрее пройдет адаптацию, даже если у него нет готовых инструкций, за счет доступа к накопленным данным о том, как обрабатываются инциденты.
  • Помощь по документации – теперь вопрос по продукту можно спросить у модели и получить ответ в чате.
  • Рекомендации по базе знаний – кроме документации, аналитик может получить в чате рекомендацию о том, какие действия следует выполнить для конкретного инцидента на конкретной фазе реагирования. Модель, обученная на лучших практиках по реагированию на киберинциденты, даст краткий ответ с учетом всего контекста инцидента.

Обновлен функционал построения графов достижимости критических активов. Теперь маршруты можно строить с помощью ML-движка с учетом правил маршрутизации и ACL, настроенных на сетевых устройствах в организации.

Обновлен механизм работы динамических плейбуков. Функционал получил свой интерфейс настройки условий применения атомарных действий в зависимости от контекста инцидента. Ход выполнения плейбука теперь прозрачен для пользователя, все запланированные действия, а также ход их выполнения наглядно отображаются на странице инцидента.

Добавлены связанные Threat Intelligence бюллетени. Система автоматически связывает инциденты с публичными TI-отчетами при совпадении атрибутивного состава. Это дает аналитику:

  • Быстрый доступ к информации о похожих атаках;
  • Данные о тактиках злоумышленников (TTPs);
  • Актуальные IOC/IOA;
  • Рекомендации по реагированию от поставщиков бюллетеня.

Добавлены встроенные заметки по инциденту. Аналитик может удобно фиксировать ход расследования прямо в системе, используя форматирование текста, добавляя файлы и скриншоты. Больше не нужно искать информацию в чатах или локальных файлах – все промежуточные результаты расследования всегда под рукой.

Реклама, ООО «Интеллектуальная безопасность», ИНН 7719435412, 16+

ERID: 2Vfnxwhc4Gx

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Meta раскрывает личные чаты с ИИ — Mozilla бьёт тревогу

Meta (признана экстремистской и запрещена в России) опять вляпалась в историю. В апреле они выкатили приложение Meta AI с «лентой открытий» (Discover feed), где можно смотреть чужие ИИ-запросы — дескать, вдохновляться, делиться своими, ремиксить чужие. Выглядит креативно, но…

Спустя пару дней журналисты заметили, что в этой ленте полно очень личных запросов.

Кто-то рассказывал про больную черепаху, кто-то спрашивал, как засудить бывшего работодателя, а кто-то интересовался фолиевой кислотой для женщин в менопаузе. Вишенка на торте — вопросы по страховке Blue Cross.

Meta (признана экстремистской и запрещена в России) утверждает, что ничего не публикуется без нажатия кнопки «поделиться». Но, похоже, далеко не все понимают, что на самом деле происходит. И теперь Mozilla бьёт тревогу.

«Meta тихо превращает приватные ИИ-чаты в публичный контент, и слишком много людей об этом не догадываются», — говорится в официальном заявлении Mozilla Foundation.

Чего требует Mozilla:

  • Немедленно отключить Discover feed до появления адекватных механизмов приватности.
  • Сделать все ИИ-сессии по умолчанию приватными. И только по чёткому, информированному согласию — опубликовывать.
  • Рассказать, сколько человек уже случайно «слили» свои данные.
  • Ввести понятную и универсальную систему «отписки» от использования пользовательских данных в обучении ИИ.
  • Уведомить всех, чьи чаты стали публичными, и дать им возможность удалить всё навсегда.

Mozilla прямо говорит: Meta стирает границы между личным и публичным, и делает это за наш счёт. Люди имеют право знать, когда они говорят на публике, особенно если уверены, что разговаривают наедине с ботом.

Если вы согласны, Mozilla предлагает подписать обращение с требованием закрыть «вторгающуюся» ленту Meta и гарантировать приватность по умолчанию.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru